Дата публикации: 09.07.2026

Компании массово ставят распознавание лиц на проходной: турникет открывается по лицу, а система сама фиксирует приход и уход. Удобно – не нужны карты и табельщик. Но лицо, которое камера превращает в цифровой шаблон для опознания человека, по закону – биометрические персональные данные. Для биометрии сотрудников 152-ФЗ вводит усиленный режим: СКУД по лицу и учёт рабочего времени по распознаванию лиц можно внедрять только с письменным согласием работника и с альтернативой для тех, кто отказался. Нарушение оборачивается штрафом по КоАП и предписанием Роскомнадзора прекратить обработку биометрии.

Разберём, как внедрить систему законно за 7 шагов.

Коротко. СКУД по лицу и учёт рабочего времени по распознаванию лиц – это обработка биометрических персональных данных. Она требует письменного согласия сотрудника (ст. 11 152-ФЗ) и равноценной альтернативы для отказавшихся (карта, пропуск, PIN). Без этого – штраф по ст. 13.11 КоАП РФ и риск предписания Роскомнадзора прекратить обработку биометрии.

Распознавание лица – это биометрия сотрудников? (биометрические ПДн, ст. 11 152-ФЗ)

Да, когда лицо обрабатывают техническими средствами, чтобы установить или подтвердить личность. Именно это делают СКУД и учёт рабочего времени: камера снимает лицо, алгоритм строит математический шаблон и сравнивает его с базой, чтобы понять, кто перед турникетом. Как только изображение используют для идентификации, оно попадает под ст. 11 152-ФЗ.

Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность, если оператор использует их именно для установления личности субъекта (ст. 11 152-ФЗ).

Ключ здесь – цель. Не всякое фото лица – биометрия. Данные становятся биометрическими, когда оператор обрабатывает их для опознания конкретного человека.

Обычное фото в личном деле или биометрический шаблон: в чём разница

Фотография в кадровом деле или на пропуске сама по себе биометрией не считается: она лежит «для вида», её никто не сканирует алгоритмом для автоматического опознания. Как только то же лицо оцифровывают в вектор признаков и сравнивают с живым человеком на проходной – это уже биометрические персональные данные. Разница не в носителе (фото), а в способе и цели обработки. Работодатели часто путают эти случаи и думают: «раз фото и так в личном деле, никакого согласия на распознавание не нужно». Это заблуждение.

СКУД и учёт рабочего времени (УРВ) по лицу – всегда биометрия сотрудников

Любой турникет или терминал, который узнаёт человека по лицу, обрабатывает биометрию. Неважно, как это названо внутри компании – «умный проход», «face-контроль», «система дисциплины». Если техника устанавливает личность по лицу, применяется усиленный режим 152-ФЗ: письменное согласие, отдельные документы, повышенные требования к защите. Биометрический СКУД без этого режима незаконен с первого дня работы.

Что закон требует от работодателя

Биометрию сотрудников регулируют сразу несколько норм:

  • 152-ФЗ – ст. 11 (обработка биометрии только по письменному согласию; ч. 3 – предоставление биометрии не может быть обязательным, а оператор не вправе отказать в обслуживании из-за отказа её сдать, когда получение согласия по закону не обязательно), ст. 9 (признаки действительного согласия), ст. 5 (обработка должна соответствовать заявленным целям), ст. 18.1 (обязанности оператора: политика, меры, документы).
  • ТК РФ, глава 14 (ст. 86–90) – правила обработки и передачи персональных данных работника, запрет принуждения.
  • 572-ФЗ – идентификация и аутентификация по биометрии, порядок работы с Единой биометрической системой.

Роскомнадзор в разъяснениях последовательно держит позицию: согласие работника на биометрию должно быть добровольным, а отказ от неё не может ухудшать положение сотрудника.

Письменное согласие сотрудника на биометрию

Ст. 11 152-ФЗ разрешает обрабатывать биометрию только при согласии субъекта в письменной форме. Исключения (оборона, безопасность, противодействие терроризму, правосудие, оперативно-розыскная деятельность и подобные) установлены законом и к обычному корпоративному СКУД не относятся – работодатель не может ссылаться на них, чтобы обойти согласие.

Само согласие должно отвечать признакам из ст. 9 152-ФЗ: быть конкретным, предметным, информированным, сознательным и однозначным. Плюс закон требует, чтобы человек давал его свободно, своей волей и в своём интересе. Конкретность – под чёткую цель (доступ и учёт времени), информированность – человек понимает, что и зачем собирают. Строчки «работник ознакомлен» в приказе недостаточно.

Добровольность и обязательная альтернатива отказавшимся

Свобода согласия – не декларация, а проверяемое условие. Согласие считается свободным, только если у сотрудника есть реальный выбор: сдавать биометрию или нет. Прямая норма – ч. 3 ст. 11 152-ФЗ: предоставление биометрии не может быть обязательным, а оператор не вправе отказывать в обслуживании из-за отказа сдать биометрию, когда согласие по закону не обязательно. Значит, для тех, кто отказался, работодатель обязан оставить равноценный способ прохода и учёта времени – карту, пропуск, PIN-код, отметку у охраны.

Принуждать к сдаче биометрии нельзя. Отказ от биометрии на работе не может быть основанием для дисциплинарного взыскания, недопуска к рабочему месту или иного давления. Если единственный способ попасть на работу – показать лицо камере, согласие свободным не считается, и вся обработка становится незаконной.

572-ФЗ и Единая биометрическая система (ЕБС): нужно ли размещать биометрию сотрудников

Ответ зависит от того, что именно делает система. Идентификация (1:N) – когда алгоритм сравнивает лицо со всей базой, чтобы понять, «кто это»; аутентификация (1:1) – когда система лишь подтверждает конкретного человека по его же шаблону («он ли это»). Для идентификации 572-ФЗ (ст. 15) ограничивает обработку биометрии вне государственной ЕБС, поэтому режим строже: в зависимости от условий это может означать размещение шаблонов в ЕБС, регистрацию коммерческой биометрической системы или работу по специальным условиям постановлений Правительства РФ. Аутентификация «на себя» (1:1, ст. 16 572-ФЗ) – наиболее чистый режим для локального доступа. Точный порядок для конкретной компании определяется 572-ФЗ и постановлениями Правительства РФ и зависит от целей и способа обработки.

Это отдельная большая тема. Подробный разбор 572-ФЗ, ЕБС и общих правил обработки биометрических персональных данных – на странице услуги «Обработка биометрических персональных данных». Здесь фиксируем главное для работодателя: наличие или отсутствие обязанности по ЕБС не отменяет письменного согласия и альтернативы – эти требования действуют всегда.

Согласие сотрудника на биометрию: что должно быть в документе

Согласие на биометрию оформляют отдельным письменным документом, а не строкой в трудовом договоре. Проверьте, что в нём есть все обязательные реквизиты:

  • ФИО и адрес субъекта, реквизиты документа, удостоверяющего личность;
  • наименование и адрес оператора (работодателя);
  • цель обработки – контроль доступа и (или) учёт рабочего времени;
  • перечень биометрических данных (изображение лица и его шаблон);
  • перечень действий с данными и способы обработки;
  • срок, на который даётся согласие, и порядок его отзыва;
  • сведения о лице, обрабатывающем данные по поручению, если СКУД обслуживает подрядчик;
  • подпись субъекта.

Готовый шаблон такого согласия мы отдаём в лид-магните ниже.

Пакет ОРД для биометрического СКУД/УРВ

Организационно-распорядительные документы (ОРД) – доказательство того, что оператор обрабатывает биометрию по правилам. Минимальный комплект:

ДокументЗачем нужен
Политика обработки персональных данныхБазовый публичный документ оператора (ст. 18.1 152-ФЗ)
Положение об обработке ПДн работниковРегламент обработки данных сотрудников, включая биометрию
Положение о СКУД / видеонаблюденииПравила работы системы доступа и распознавания
Форма письменного согласия на биометриюПравовое основание обработки биометрических ПДн (ст. 11 152-ФЗ)
Приказ о вводе системы и назначении ответственногоФиксирует запуск и ответственное лицо
Уведомление в Роскомнадзор об обработке ПДнОбязательное уведомление с указанием биометрии
Модель угроз и определение уровня защищённости ИСПДнУровень защищённости (УЗ) по ПП РФ № 1119 – для биометрии, как правило, УЗ-3 и выше
Состав мер защиты по Приказу ФСТЭК России № 21Организационные и технические меры защиты для негосударственной ИСПДн (для ГИС – Приказ ФСТЭК № 117)
Оценка вреда субъектам ПДнОбязательный документ оператора

Читайте также: Дипфейк-мошенничество против компаний: CEO-fraud

Почему пакет под биометрию заказывают у «Кредо-С»

  • Действующая лицензия ФСТЭК России № Л024-00107-00/00581724 на деятельность по технической защите конфиденциальной информации (ТЗКИ) – ООО «КРЕДО-С» (ИНН 7106014366, ОГРН 1027100747596) работает с ИСПДн и биометрией в правовом поле.
  • Опыт аудита соответствия 152-ФЗ: собираем пакет ОРД, модель угроз, уведомление в РКН и меры защиты под конкретную СКУД.
  • Стоимость аудита зависит от числа точек доступа, количества сотрудников и наличия действующих ОРД – оценим по вашей конфигурации.

Штрафы за нарушения при биометрическом СКУД

Ответственность за биометрию без согласия наступает по ст. 13.11 КоАП РФ. Составы за обработку без письменного согласия (ч. 2 и ч. 2.1) действуют в редакции 589-ФЗ (2023). Суммы ч. 1, составы за утечки (ч. 11–18) и оборотные штрафы обновлены 420-ФЗ и применяются с 30.05.2025. Подробный разбор составов и сумм – в статье «Штрафы за нарушение 152-ФЗ». Актуальные значения для юрлица:

НарушениеНормаШтраф для юрлица
Обработка биометрии без письменного согласияч. 2 ст. 13.11 КоАП300 000 – 700 000 ₽
Повторная обработка без письменного согласияч. 2.1 ст. 13.11 КоАП1 000 000 – 1 500 000 ₽
Обработка ПДн вне закона / несовместимо с целямич. 1 ст. 13.11 КоАП150 000 – 300 000 ₽
Неуведомление РКН о намерении обрабатывать ПДнч. 10 ст. 13.11 КоАП100 000 – 300 000 ₽
Утечка биометрических данныхч. 17 ст. 13.11 КоАП15 000 000 – 20 000 000 ₽
Повторная утечка биометрии / спецкатегориич. 18 ст. 13.11 КоАП1–3% годовой выручки, 25–500 млн ₽
Неуведомление РКН об утечкеч. 11 ст. 13.11 КоАП1 000 000 – 3 000 000 ₽

Для должностных лиц и граждан суммы ниже: например, за обработку без письменного согласия должностное лицо платит 100 000 – 300 000 ₽, гражданин – 10 000 – 15 000 ₽. Есть и уголовный риск – ст. 272.1 УК РФ (2024, 421-ФЗ). Она карает оборот незаконно полученных биометрических данных: слив или покупку баз, «пробив». Отсутствие согласия на собственный СКУД под неё не подпадает – для типового работодателя нарушение остаётся административным (ст. 13.11 КоАП). Кроме штрафа Роскомнадзор вправе выдать предписание и потребовать прекратить обработку биометрии (ст. 23 152-ФЗ); оператор при этом обязан прекратить обработку и уничтожить неправомерно собранные биометрические данные (ст. 21 152-ФЗ). На практике до легализации системы это означает отключение распознавания лиц.

Как законно внедрить СКУД по лицу: 7 шагов

  1. Зафиксируйте цель обработки. Пропишите, зачем собираете биометрию – контроль доступа, учёт рабочего времени. Цель определяет объём данных и меры (ст. 5 152-ФЗ).
  2. Разработайте ОРД и формы согласий. Подготовьте политику, положения и форму письменного согласия на биометрию.
  3. Соберите письменные согласия и обеспечьте альтернативу. Каждый сотрудник подписывает согласие; для отказавшихся оставьте карту, пропуск или PIN.
  4. Определите уровень защищённости ИСПДн и внедрите меры. Постройте модель угроз, задайте уровень защищённости по ПП РФ № 1119 (для биометрии, как правило, УЗ-3 и выше; конкретный уровень зависит от модели угроз – при актуальных угрозах 2-го/1-го типов это УЗ-2/УЗ-1) и внедрите состав организационно-технических мер по Приказу ФСТЭК России № 21 (для ГИС – Приказ ФСТЭК № 117). Для государственных систем добавляется аттестация ИСПДн/ГИС; спроектировать защиту помогает аудит защиты данных.
  5. Подайте или актуализируйте уведомление в РКН. Укажите обработку биометрических данных.
  6. Оформите поручение подрядчику. Если СКУД обслуживает внешняя компания, заключите договор-поручение на обработку по ст. 6 152-ФЗ.
  7. Организуйте контроль и удаление. Ведите учёт согласий, обрабатывайте отзывы и удаляйте биометрию уволенных, когда цель обработки достигнута.

Частые ошибки работодателей

  • Биометрию собирают по устному согласию или «по умолчанию». Нарушение ст. 11 152-ФЗ – нужно письменное согласие.
  • Нет альтернативы для отказавшихся. Согласие перестаёт быть свободным (ст. 9 152-ФЗ), обработка незаконна.
  • Согласие «зашито» в трудовой договор. На биометрию нужен отдельный документ, а не пункт договора.
  • Не подано уведомление в Роскомнадзор. Состав по ч. 10 ст. 13.11 КоАП.
  • Не удаляют биометрию уволенных. Нарушение принципа соответствия целям (ст. 5 152-ФЗ).
  • Подрядчик СКУД обрабатывает данные без договора-поручения. Нарушение ст. 6 152-ФЗ.

Отраслевой срез: проходная завода, офис, распределённые площадки

  • Промышленный объект. Если биометрический СКУД стоит на периметре, связанном с промышленной автоматикой и критичными объектами, к системе применяются повышенные требования по защите – её нельзя проектировать в отрыве от общего контура безопасности предприятия.
  • Офис. Типичный риск здесь – «тихий» сбор: терминал поставили, согласий не взяли, альтернативу не сделали. Для офиса важнее всего чистый пакет согласий и реальная альтернатива.
  • Распределённые площадки. Когда точек доступа много, нужны единая политика и единые формы согласий по всем филиалам, иначе на каждой площадке всплывают свои нарушения.
  • Интеграция с 1С и учётом рабочего времени. При выгрузке событий прохода в кадровый и табельный учёт минимизируйте данные и разграничьте доступ к биометрии – её видит только тот, кому она нужна по работе.

Часто задаваемые вопросы

Нужно ли письменное согласие работника на СКУД с распознаванием лица?
Да. Распознавание лица для прохода и учёта времени – это обработка биометрических персональных данных, а её ст. 11 152-ФЗ разрешает только при письменном согласии субъекта. Устного согласия или строки «ознакомлен» в приказе недостаточно. Согласие должно быть свободным (ст. 9 152-ФЗ): для отказавшихся работодатель обязан оставить равноценный способ прохода – карту или пропуск, а принуждение к сдаче биометрии делает согласие недействительным и всю обработку незаконной.
Можно ли обязать сотрудника сдать биометрию для прохода на работу?
Нет. Часть 3 ст. 11 152-ФЗ прямо запрещает делать предоставление биометрии обязательным. Согласие по ст. 9 должно быть свободным: у работника должен быть реальный выбор. Для отказавшихся работодатель обязан оставить равноценную альтернативу – карту, пропуск, PIN. Отказ от биометрии не может быть основанием для взыскания или недопуска к работе.
Какой штраф грозит за биометрический СКУД без согласия?
По ч. 2 ст. 13.11 КоАП РФ (обработка без письменного согласия, когда оно обязательно) для юрлица – 300 000 – 700 000 ₽, при повторе по ч. 2.1 – 1 000 000 – 1 500 000 ₽. Отдельно наказывается утечка биометрии: по ч. 17 ст. 13.11 – 15 000 000 – 20 000 000 ₽ (<a href="/articles-info/shtrafy-za-narushenie-152-fz/">разбор составов</a>). Кроме штрафа Роскомнадзор вправе выдать предписание и потребовать прекратить обработку биометрии (ст. 23 152-ФЗ), а оператор обязан прекратить обработку и уничтожить неправомерно собранные данные (ст. 21 152-ФЗ).
Обязательно ли передавать биометрию сотрудников в государственную ЕБС?
Зависит от режима работы системы. Для аутентификации (1:1, подтверждение «на себя») по ст. 16 572-ФЗ размещение в государственной ЕБС по общему правилу не требуется. Для идентификации (1:N, сравнение со всей базой – как в типовом СКУД по лицу) ст. 15 572-ФЗ ограничивает обработку биометрии вне ЕБС: режим строже и может требовать размещения шаблонов в ЕБС, регистрации коммерческой биометрической системы или работы по специальным условиям постановлений Правительства РФ. Точный порядок определяют 572-ФЗ и постановления Правительства РФ. При любом режиме обязанность по ЕБС не отменяет письменного согласия и альтернативы.
Сколько хранить биометрию сотрудников и когда её удалять?
Не дольше, чем нужно для заявленной цели. Биометрию удаляют, когда цель обработки достигнута или отпала: при увольнении сотрудника, отзыве согласия или выводе системы из эксплуатации. Хранить шаблоны лиц уволенных «на всякий случай» нельзя – это нарушает принцип соответствия целям (ст. 5 152-ФЗ), а при отзыве согласия или достижении цели оператор обязан прекратить обработку и уничтожить данные (ст. 21 152-ФЗ). Конкретный срок хранения закрепите в согласии и в положении об обработке ПДн работников.

Остались вопросы? Оставьте заявку

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных